JP7020297B2 - 鍵共有システム、機器、鍵共有方法及びプログラム - Google Patents

鍵共有システム、機器、鍵共有方法及びプログラム Download PDF

Info

Publication number
JP7020297B2
JP7020297B2 JP2018102726A JP2018102726A JP7020297B2 JP 7020297 B2 JP7020297 B2 JP 7020297B2 JP 2018102726 A JP2018102726 A JP 2018102726A JP 2018102726 A JP2018102726 A JP 2018102726A JP 7020297 B2 JP7020297 B2 JP 7020297B2
Authority
JP
Japan
Prior art keywords
key
shared
calculated
key sharing
consignment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018102726A
Other languages
English (en)
Other versions
JP2019208142A (ja
Inventor
彰 永井
幸太郎 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018102726A priority Critical patent/JP7020297B2/ja
Priority to US17/058,116 priority patent/US11791993B2/en
Priority to PCT/JP2019/017804 priority patent/WO2019230291A1/ja
Publication of JP2019208142A publication Critical patent/JP2019208142A/ja
Application granted granted Critical
Publication of JP7020297B2 publication Critical patent/JP7020297B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations

Description

本発明は、鍵共有システム、機器、鍵共有方法及びプログラムに関する。
近年、IoT(Internet of Things)機器同士で通信を行ったり、IoT機器とゲートウェイ機器やクラウド上のサーバ装置等とが通信を行ったりする場合に、互いの正当性を確認するための認証が重要になってきている。IoT機器を対象とする認証方法としては、例えば、パスワードやPKI(Public Key Infrastructure)を用いた電子証明書等が一般的であるが、IDベース暗号を用いた認証付き鍵共有プロトコルも知られている。ここで、IDベース暗号とは、任意の文字列で表されたID等の識別子を公開鍵とすることができる公開鍵暗号である。IoT機器でIDベース暗号を用いる場合には、例えば、IoT機器の製造コードやシリアルナンバー等を公開鍵とすることができる。なお、鍵共有プロトコルは、鍵交換プロトコルとも呼ばれる。
認証付き鍵共有プロトコルでは、一般に、暗号化通信のための鍵共有を行いたいデバイス(例えば、IoT機器やサーバ装置等)同士が互いに認証を行った上で、この認証に成功した場合に共有鍵が生成される。IDベース暗号を用いた認証付き鍵共有プロトコルとしては、例えば、Pin(Personal identification number)入力を用いた認証付きの鍵共有プロトコルであるM-Pin Full、ペアリングベースの認証付き鍵共有プロトコルであるFSU(Fujioka-Suzuki-Ustaoglu)、Chen-Cheng-Smart等が知られている。
ここで、IDベース暗号を用いた認証付き鍵共有プロトコルでは、マスター秘密鍵を鍵生成センタ(KGC:Key Generation Center)が保持し、このマスター秘密鍵から各デバイスの秘密鍵が発行されることで認証が行われる。各デバイスに発行された秘密鍵が第三者に漏洩した場合、この第三者によるなりすましが可能となってしまうため、各デバイスは秘密鍵を厳格に管理する必要がある。
NTT Secure Platform Laboratories, NTT Corporation: Specification of FSU version 1.0, <URL:https://info.isl.ntt.co.jp/crypt/eng/archive/dl/fsu/FSU.pdf>
ところで、秘密鍵を安全に管理するための方法としては、次の2つの方法が考えられる。1つ目の方法は、耐タンパ性のあるセキュアな記憶領域に秘密鍵を保存することで、秘密鍵自体を漏洩しにくくする方法である。2つ目の方法は、複数の秘密鍵を用いることで、秘密鍵の1つが仮に漏洩した場合でもなりすましができないようにする方法である。
しかしながら、耐タンパ性のあるセキュア領域(例えば、SIM(Subscriber Identity Module)等)での計算はPC(パーソナルコンピュータ)等と比較して処理性能が低いため、上記の1つ目の方法を用いる場合、現実的な処理時間で鍵共有の実現が難しいことがある。
ここで、上記の2つ目の方法を用いる場合には、暗号化通信のための鍵共有を行いたいデバイス(例えば、IoT機器やサーバ等)とは異なる他のデバイスを準備し、この他のデバイスにも秘密鍵を保存することになる。そこで、上記の1つ目の方法を用いる場合に、この他のデバイスに秘密鍵に関する処理を委託することで、暗号化通信のための鍵共有を行いたいデバイスがIoT機器等であっても、現実的な処理時間で鍵共有を実現することができるようになる。
本発明の実施の形態は、上記の点に鑑みてなされたもので、機器の処理性能に関わらず、処理時間の低下を防止しつつ安全性の高い認証付き鍵共有を実現することを目的とする。
上記目的を達成するため、本発明の実施の形態は、認証付き鍵共有プロトコルにより、第1の機器と第2の機器との間で暗号化通信を行うための共有鍵を生成する鍵共有システムであって、前記第1の機器及び前記第2の機器の少なくとも一方の機器は、前記共有鍵を生成するための共有値σ(i=1,・・・,n)のうち、ペアリング演算により計算され、かつ、秘密鍵DA,1を入力する共有値σを計算する計算手段と、前記共有値σ(i=1,・・・,n)のうち、ペアリング演算により計算され、かつ、秘密鍵DA,2を入力する共有値σ(k≠j)の計算を、前記機器とネットワークを介して接続された情報処理装置に委託する委託手段と、前記計算手段により計算した共有値σと、前記情報処理装置で計算された共有値σとを用いて、前記共有鍵を生成する鍵生成手段と、を有することを特徴とする。
機器の処理性能に関わらず、処理時間の低下を防止しつつ安全性の高い認証付き鍵共有を実現することができる。
本発明の実施の形態における鍵共有システムの全体構成の一例を示す図である。 本発明の実施の形態における機器のハードウェア構成の一例を示す図である。 本発明の実施の形態におけるサーバ装置及び委託計算装置のハードウェア構成の一例を示す図である。 本発明の実施の形態における鍵共有システムの機能構成の一例を示す図である。 本発明の実施の形態における鍵共有処理の一例を示すシーケンス図(実施例1)である。 本発明の実施の形態における鍵共有処理の一例を示すシーケンス図(実施例2)である。
以下、本発明の実施の形態について説明する。本発明の実施の形態では、処理性能が比較的低いIoT機器等でも処理時間の低下を防止しつつ安全性の高い認証付き鍵共有を実現可能な鍵共有システム1について説明する。
<全体構成>
まず、本発明の実施の形態における鍵共有システム1の全体構成について、図1を参照しながら説明する。図1は、本発明の実施の形態における鍵共有システム1の全体構成の一例を示す図である。
図1に示すように、本発明の実施の形態における鍵共有システム1には、1台以上の機器10と、サーバ装置20と、委託計算装置30とが含まれる。また、機器10と、サーバ装置20と、委託計算装置30とは、例えばインターネット等の通信ネットワークNを介して通信可能に接続されている。
機器10は、例えば、各種センサ等のIoT機器である。機器10は、他の機器10又はサーバ装置20との間で、IDベース暗号を用いた認証付き鍵共有(以降では、単に、「認証付き鍵共有」とも表す。)により、暗号化通信のための鍵(共有鍵)を共有する。このとき、機器10は、複数の秘密鍵を用いた認証付き鍵共有を行うと共に、これら複数の秘密鍵のうちの一部の秘密鍵に関する処理を委託計算装置30に委託する。
そして、機器10は、他の機器10又はサーバ装置20との間で共有した共有鍵を用いて、当該他の機器10又はサーバ装置20との間で暗号化通信を行う。
なお、IoT機器としては、各種センサ以外にも、例えば、各種デジタル家電、照明機器、監視カメラ装置、医療機器、産業用機器等の通信可能な種々の機器が挙げられる。本発明の実施の形態における機器10は、通常のPC(パーソナルコンピュータ)等と比較して処理性能が低いIoT機器等を想定して説明するが、機器10はIoT機器以外であっても良い。例えば、機器10は、ウェアラブルデバイスやスマートフォン、タブレット端末等であっても良い。
サーバ装置20は、機器10からのデータ(例えば、センシングデータ等)を収集する情報処理装置(コンピュータ)である。サーバ装置20は、機器10からのデータを収集する際に、当該機器10との間で、認証付き鍵共有により、暗号化通信のための共有鍵を共有する。そして、サーバ装置20は、機器10との間で共有した共有鍵を用いて、当該機器10との間で暗号化通信を行う。
委託計算装置30は、例えば、機器10と物理的に近い場所に設置されたエッジコンピュータ又はフォグコンピュータである。委託計算装置30は、機器10が他の機器10又はサーバ装置20との間で認証付き鍵共有を行う際に、この認証付き鍵共有に用いられる複数の秘密鍵のうちの一部の秘密鍵に関する処理を行う。
なお、図1に示す鍵共有システム1の構成は一例であって他の構成であっても良い。例えば、機器10と委託計算装置30とは、例えば構内ネットワーク等のローカルネットワークを介して通信可能に接続されていても良い。また、機器10同士のみで認証付き鍵共有及び暗号化通信が行われる場合、鍵共有システム1には、サーバ装置20が含まれなくても良い。
<ハードウェア構成>
次に、本発明の実施の形態における機器10、サーバ装置20及び委託計算装置30のハードウェア構成について説明する。
≪機器10≫
以降では、本発明の実施の形態における機器10のハードウェア構成について、図2を参照しながら説明する。図2は、本発明の実施の形態における機器10のハードウェア構成の一例を示す図である。
図2に示すように、本発明の実施の形態における機器10は、プロセッサ11と、メモリ装置12と、通信I/F13とを有する。これら各ハードウェアは、それぞれがバス14を介して通信可能に接続されている。
プロセッサ11は、例えばMPU(Micro Processing Unit)やCPU(Central Processing Unit)等であり、メモリ装置12からプログラムやデータを読み出して処理を実行する演算装置である。
メモリ装置12は、例えばRAM(Random Access Memory)やROM(Read Only Memory)、フラッシュメモリ等であり、各種データやプログラム等を記憶する。また、メモリ装置12には、耐タンパ性があるSIMやフラッシュメモリ等が含まれていても良い。なお、メモリ装置12には、本発明の実施の形態における機器10が有する各機能を実現する1以上のプログラムが記憶されている。
通信I/F13は、機器10を通信ネットワークNに接続するためのインタフェースである。機器10は、通信I/F13を介して、他の機器10やサーバ装置20、委託計算装置30等との間でデータ通信を行うことができる。
本発明の実施の形態における機器10は、図2に示すハードウェア構成を有することにより、後述する各種処理を実現することができる。
≪サーバ装置20、委託計算装置30≫
以降では、本発明の実施の形態におけるサーバ装置20及び委託計算装置30のハードウェア構成について、図3を参照しながら説明する。図3は、本発明の実施の形態におけるサーバ装置20及び委託計算装置30のハードウェア構成の一例を示す図である。なお、サーバ装置20及び委託計算装置30は略同様のハードウェア構成で実現可能であるため、以降では、主に、サーバ装置20のハードウェア構成について説明する。
図3に示すように、本発明の実施の形態におけるサーバ装置20は、入力装置21と、表示装置22と、RAM23と、ROM24と、プロセッサ25と、外部I/F26と、通信I/F27と、補助記憶装置28とを有する。これら各ハードウェアは、それぞれがバス29を介して通信可能に接続されている。
入力装置21は、例えばキーボードやマウス、タッチパネル等であり、ユーザが各種操作を入力するのに用いられる。表示装置22は、例えばディスプレイ等であり、ユーザに対して処理結果等を表示するのに用いられる。なお、サーバ装置20及び委託計算装置30は、入力装置21及び表示装置22のうちの少なくとも一方を有していなくても良い。
RAM23は、プログラムやデータを一時保持する揮発性の半導体メモリである。ROM24は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。プロセッサ25は、例えばCPU等であり、ROM24や補助記憶装置28等からプログラムやデータをRAM23上に読み出して処理を実行する演算装置である。
外部I/F26は、外部装置とのインタフェースである。外部装置には、記録媒体26a等がある。記録媒体26aとしては、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)、SDメモリカード(Secure Digital memory card)、USB(Universal Serial Bus)メモリカード等が挙げられる。記録媒体26aには、サーバ装置20が有する各機能を実現する1以上のプログラムや委託計算装置30が有する各機能を実現する1以上のプログラム等が記録されていても良い。
通信I/F27は、サーバ装置20を通信ネットワークNに接続するためのインタフェースである。サーバ装置20は、通信I/F27を介して、機器10との間でデータ通信を行うことができる。
補助記憶装置28は、例えばHDD(Hard Disk Drive)やSSD(Solid State Drive)等の不揮発性の記憶装置である。補助記憶装置28には、サーバ装置20が有する各機能を実現する1以上のプログラムや委託計算装置30が有する各機能を実現する1以上のプログラム等が記憶されている。
本発明の実施の形態におけるサーバ装置20及び委託計算装置30は、図3に示すハードウェア構成を有することにより、後述する各種処理を実現することができる。なお、図3では、本発明の実施の形態におけるサーバ装置20及び委託計算装置30が1台の情報処理装置(コンピュータ)で実現されている場合を示したが、これに限られない。本発明の実施の形態におけるサーバ装置20及び委託計算装置30は、複数台の情報処理装置(コンピュータ)で実現されていても良い。
<機能構成>
次に、本発明の実施の形態における鍵共有システム1の機能構成について、図4を参照しながら説明する。図4は、本発明の実施の形態における鍵共有システム1の機能構成の一例を示す図である。
≪機器10≫
図4に示すように、本発明の実施の形態における機器10は、通信部101と、相互認証部102と、鍵共有処理部103とを有する。これら各機能部は、機器10にインストールされた1以上のプログラムがプロセッサ11に実行させる処理により実現される。
また、本発明の実施の形態における機器10は、記憶部104を有する。記憶部104は、例えばメモリ装置12を用いて実現可能である。
通信部101は、他の機器10、サーバ装置20又は委託計算装置30との間で各種通信を行う。
相互認証部102は、認証付き鍵共有に用いられる複数の秘密鍵のうちの一部の秘密鍵に関する処理を委託計算装置30に委託する前に、記憶部104に予め記憶しておいた共通鍵を用いて、当該委託計算装置30との間で相互に認証を行う。
鍵共有処理部103は、他の機器10又はサーバ装置20との間で認証付き鍵共有に関する処理(以降、「鍵共有処理」とも表す。)を行う。
記憶部104は、鍵共有処理に用いられる秘密鍵や委託計算装置30との間の相互認証に用いる共有鍵等を記憶する。なお、記憶部104には耐タンパ性のある記憶領域(以降、「耐タンパ領域」とも表す。)が含まれており、少なくとも秘密鍵と共有鍵とが当該耐タンパ領域に記憶されていても良い。以降では、記憶部104の耐タンパ領域には、鍵共有処理に用いられる秘密鍵と、委託計算装置30との間の相互認証に用いる共有鍵とが記憶されているものとする。
≪サーバ装置20≫
図4に示すように、本発明の実施の形態におけるサーバ装置20は、通信部201と、鍵共有処理部202とを有する。これら各機能部は、サーバ装置20にインストールされた1以上のプログラムが、当該サーバ装置20のプロセッサ25に実行させる処理により実現される。
また、本発明の実施の形態におけるサーバ装置20は、記憶部203を有する。記憶部203は、例えば、当該サーバ装置20の補助記憶装置28やRAM23等を用いて実現可能である。
通信部201は、機器10との間で各種通信を行う。鍵共有処理部202は、機器10との間で鍵共有処理を行う。記憶部203は、鍵共有処理に用いられる秘密鍵等を記憶する。
≪委託計算装置30≫
図4に示すように、本発明の実施の形態における委託計算装置30は、通信部301と、相互認証部302と、委託計算部303とを有する。これら各機能部は、委託計算装置30にインストールされた1以上のプログラムが、当該委託計算装置30のプロセッサ25に実行させる処理により実現される。
また、本発明の実施の形態における委託計算装置30は、記憶部304を有する。記憶部304は、例えば、当該委託計算装置30の補助記憶装置28やRAM23等を用いて実現可能である。
通信部301は、機器10との間で各種通信を行う。相互認証部302は、認証付き鍵共有に用いられる複数の秘密鍵のうちの一部の秘密鍵に関する処理を機器10から受託する前に、記憶部304に予め記憶しておいた共通鍵を用いて、当該機器10との間で相互に認証を行う。
委託計算部303は、機器10から委託された秘密鍵に関する処理を行う。記憶部304は、認証付き鍵共有に用いられる複数の秘密鍵のうちの一部の秘密鍵や機器10との間の相互認証に用いる共有鍵等を記憶する。
<鍵共有処理>
以降では、実施例1及び実施例2として、機器10とサーバ装置20との間で鍵共有処理を行う場合に説明する。実施例1では、認証付き鍵共有プロトコルをFSUとして、複数の秘密鍵を用いた認証付き鍵共有を行うと共に、これら複数の秘密鍵のうちの一部の秘密鍵に関する処理を委託計算装置30に委託する場合について説明する。また、実施例2では、認証付き鍵共有プロトコルをChen-Cheng-Smartとして、複数の秘密鍵を用いた認証付き鍵共有を行うと共に、これら複数の秘密鍵のうちの一部の秘密鍵に関する処理を委託計算装置30に委託する場合について説明する。なお、実施例1及び実施例2では、一例として、機器10が暗号化通信の送信者(Sender)、サーバ装置20が暗号化通信の受信者(Receiver)である場合について説明する。
(記号の定義)
実施例1及び実施例2では、以下の記号を用いるものとする。
ID:機器10の識別子
ID:サーバ装置20の識別子
k:セキュリティパラメータ
p,q:p≠qを満たす素数
:有限体F上の楕円曲線E:=E(F)における部分群
:Fのk次拡大体上の楕円曲線
Figure 0007020297000001
 における部分群
:Gの生成元
:Gの生成元
:qを法とする剰余類
z∈Z:マスター秘密鍵
=zg∈G(v=1,2):マスター公開鍵
:文字列(すなわち、オクテット列)からG上の元を生成する関数
:文字列からG上の元を生成する関数
H:鍵導出関数
e:BN(Barret-Naehrig)曲線上のOptimal Ateペアリング
なお、BN曲線上のOptimal Ateペアリングについては、例えば、以下の参考文献1を参照されたい。
[参考文献1]
K. Kasamatsu, S. Kanno, T. Kobayashi and Y. Kawahara: Optimal Ate Pairing draft-kasamatsu-optimal-ate-pairings-00. Network Working Group Internet-Draft: to apper.
ここで、上記で定義した各記号のうち、マスター秘密鍵z以外は公開情報である。
(実施例1)
まず、鍵共有処理の実施例1として、認証付き鍵共有プロトコルにFSUを用いた場合について、図5を参照しながら説明する。図5は、本発明の実施の形態における鍵共有処理の一例を示すシーケンス図(実施例1)である。
機器10の鍵共有処理部103は、秘密鍵DA,1=zQA,1=zH(ID)∈Gと、秘密鍵DA,2=zQA,2=zH(ID)∈Gとを生成する(ステップS101)。ここで、鍵共有処理部103は、以下のステップS101-1~ステップS101-2により、秘密鍵DA,1及びDA,2を生成する。
ステップS101-1:鍵共有処理部103は、QA,1=H(ID)とQA,2=H(ID)とを計算し、QA,1及びQA,2を公開する。
ステップS101-2:鍵共有処理部103は、鍵生成センタ(KGC)にアクセスし、鍵生成センタにより生成された秘密鍵DA,1=zQA,1とDA,2=zQA,2とを受け取る。これにより、秘密鍵DA,1と秘密鍵DA,2とが生成される。
サーバ装置20の鍵共有処理部202は、秘密鍵DB,1=zQB,1=zH(ID)∈Gと、秘密鍵DB,2=zQB,2=zH(ID)∈Gとを生成する(ステップS102)。ここで、鍵共有処理部202は、以下のステップS102-1~ステップS102-2により、秘密鍵DB,1及びDB,2を生成する。
ステップS102-1:鍵共有処理部202は、QB,1=H(ID)とQB,2=H(ID)とを計算し、QB,1及びQB,2を公開する。
ステップS102-2:鍵共有処理部202は、鍵生成センタ(KGC)にアクセスし、鍵生成センタにより生成された秘密鍵DB,1=zQB,1とDB,2=zQB,2とを受け取る。これにより、秘密鍵DB,1と秘密鍵DB,2とが生成される。なお、サーバ装置20はReceiverであるため、秘密鍵DB,1は生成されなくても良い。
機器10の通信部101は、秘密鍵DA,2を委託計算装置30に送信する(ステップS103)。
委託計算装置30の委託計算部303は、通信部301が秘密鍵DA,2を受信すると、当該秘密鍵DA,2を記憶部304に保存する(ステップS104)。
機器10の鍵共有処理部103は、秘密鍵DA,2を削除すると共に、秘密鍵DA,1のみを記憶部104に保存する(ステップS105)。
サーバ装置20の鍵共有処理部202は、秘密鍵DB,1及びDB,2を記憶部203に保存する(ステップS106)。なお、サーバ装置20はReceiverであるため、秘密鍵DB,2のみを記憶部203に保存し、秘密鍵DB,1を削除しても良い。
機器10の鍵共有処理部103は、短期秘密鍵x∈Zをランダムに選択した上で、短期公開鍵XA,1=xと短期公開鍵XA,2=xとを計算する(ステップS107)。これにより、短期秘密鍵xと、短期公開鍵XA,1及びXA,1とが生成される。なお、短期秘密鍵xと、短期公開鍵XA,1及びXA,1とは、例えば、記憶部104に記憶される。
サーバ装置20の鍵共有処理部202は、短期秘密鍵x∈Zをランダムに選択した上で、短期公開鍵XB,1=xと短期公開鍵XB,2=xとを計算する(ステップS108)。これにより、短期秘密鍵xと、短期公開鍵XB,1及びXB,2とが生成される。なお、短期秘密鍵xと、短期公開鍵XB,1及びXB,2とは、例えば、記憶部203に記憶される。
機器10の通信部101は、識別子IDと、識別子IDと、短期公開鍵XA,1と、短期公開鍵XA,2とをサーバ装置20に送信する(ステップS109)。
サーバ装置20の鍵共有処理部202は、楕円曲線E及びXA,2に関するGROUPMEMBERSHIPTEST関数値と、楕円曲線E及びXA,1に関するGROUPMEMBERSHIPTEST関数値とが共に1であり、かつ、e(XA,1,g)=e(g,XA,2)であるか否かを確認する(ステップS110)。ここで、GROUPMEMBERSHIPTEST関数は、引数として楕円曲線Eと点Pとが指定される関数であり、点Pが楕円曲線E上の点である場合に1、そうでない場合に0となる関数である。
なお、上記のステップS110において、GROUPMEMBERSHIPTEST関数値が0又はe(XA,1,g)≠e(g,XA,2)である場合、鍵共有処理が失敗したものとして、処理を終了するか又は上記のステップS101からやり直す。以降では、上記のステップS110において、GROUPMEMBERSHIPTEST関数値が共に1で、かつ、e(XA,1,g)=e(g,XA,2)であると確認されたものとする。
サーバ装置20の鍵共有処理部202は、以下により共有値σ,σ,σ,σを計算する(ステップS111)。
σ=e(QA,1,DB,2
σ=e(QA,1+XA,1,DB,2+x
σ=xA,1
σ=xA,2
次に、サーバ装置20の通信部201は、識別子IDと、識別子IDと、短期公開鍵XB,1と、短期公開鍵XB,2とを機器10に送信する(ステップS112)。
機器10の相互認証部102と、委託計算装置30の相互認証部302とは、共有鍵による相互認証を行う(ステップS113)。すなわち、機器10の相互認証部102は、記憶部104に予め記憶しておいた共通鍵を用いて委託計算装置30を認証すると共に、委託計算装置30の相互認証部302は、記憶部304に予め記憶しておいた共通鍵を用いて機器10を認証する。これにより、機器10と委託計算装置30との間で、互いの正当性が確認される。このように共通鍵を用いることで、機器10と委託計算装置30との間の相互認証の処理時間を削減することができる。
以降では、ステップS113の相互認証に成功したものとする。なお、相互認証に成功した場合、機器10と委託計算装置30とはセッション鍵を生成し、このセッション鍵を用いて以降の通信を暗号化するものする。したがって、以降のステップS115及びステップS121の通信は、このセッション鍵によって暗号化されているものとする。
機器10の鍵共有処理部103は、xを計算する(ステップS114)。次に、機器10の通信部101は、識別子IDと、識別子IDと、短期公開鍵XB,1と、短期公開鍵XB,2と、計算値xとを委託計算装置30に送信する(ステップS115)。
委託計算装置30の委託計算部303は、楕円曲線E及びXB,2に関するGROUPMEMBERSHIPTEST関数値と、楕円曲線E及びXB,1に関するGROUPMEMBERSHIPTEST関数値とが共に1であり、かつ、e(XB,1,g)=e(g,XB,2)であるか否かを確認する(ステップS116)。
なお、上記のステップS116において、GROUPMEMBERSHIPTEST関数値が0又はe(XB,1,g)≠e(g,XB,2)である場合、鍵共有処理が失敗したものとして、処理を終了するか又は上記のステップS101からやり直す。以降では、上記のステップS116において、GROUPMEMBERSHIPTEST関数値が共に1で、かつ、e(XB,1,g)=e(g,XB,2)であると確認されたものとする。
次に、委託計算装置30の委託計算部303は、以下により共有値σを計算する(ステップS117)。
σ=e(QB,1+XB,1,DA,2+x
このように、委託計算装置30では、σとして、e(QB,1+XB,1,DA,2+x)を計算する。すなわち、従来のFSUではσ=e(DA,1+x,QB,2+XB,2)を計算しているが(非特許文献1参照)、実施例1では、ペアリングeの入力を逆転させて、σ=e(QB,1+XB,1,DA,2+x)を計算する。これにより、秘密鍵DA,2を利用したσの計算を行うことが可能になる。
他方で、機器10の鍵共有処理部103は、以下により共有値σ,σ,σを計算する(ステップS118)。
σ=e(QA,1,DB,2
σ=xB,1
σ=xB,2
次に、機器10の鍵共有処理部103は、以下によりsidを計算する(ステップS119)。なお、sidはセッションIDである。
Figure 0007020297000002
 また、サーバ装置20の鍵共有処理部202は、以下によりsidを計算する(ステップS120)。
Figure 0007020297000003
 委託計算装置30の通信部301は、共有値σを機器10に送信する(ステップS121)。
機器10の鍵共有処理部103は、通信部101が共有値σを受信すると、以下により共有鍵Kを生成する(ステップS122)。
Figure 0007020297000004
 なお、共有鍵Kは、例えば、記憶部104に記憶される。
サーバ装置20の鍵共有処理部202は、以下により共有鍵Kを生成する(ステップS123)。
Figure 0007020297000005
 なお、共有鍵Kは、例えば、記憶部203に記憶される。
これにより、機器10とサーバ装置20との間で共有鍵Kが共有される。したがって、以降の機器10及びサーバ装置20は、共有鍵Kを用いた暗号化通信を行うことができるようになる。
以上のように、実施例1の鍵共有処理では、機器10は2つの秘密鍵DA,1及びDA,2を異なる群G及びGでそれぞれ生成し、秘密鍵DA,1を機器10に保存すると共に、秘密鍵DA,2を委託計算装置30に保存する。そして、機器10では秘密鍵DA,1を用いたペアリング演算(σ)を行うと共に、委託計算装置30では秘密鍵DA,2を用いたペアリング演算(σ)を行う。
このように、実施例1の鍵共有処理では、複数の秘密鍵DA,1及びDA,2を用いて共有鍵Kを生成する。これにより、例えば、万が一、機器10から秘密鍵DA,1が第三者に漏洩した場合であっても、委託計算装置30に保存されている秘密鍵DA,2が漏洩しない限り、当該第三者は、なりすまし等を行うことができない。したがって、例えば、機器10が屋外等に設置され、紛失や盗難の恐れがあるようなIoT機器であったとしても、第三者の盗難及び秘密鍵DA,1の漏洩によるなりすまし等を防止することができる。
また、実施例1の鍵共有処理では、σを得るためのペアリング演算を委託計算装置30に委託する。これにより、機器10が処理性能の低いIoT機器であったとしても、処理時間を削減することができる。特に、機器10の耐タンパ領域に秘密鍵DA,1が記憶されている場合であっても、処理時間の削減により、現実的な処理時間で鍵共有処理を行うことができるようになる。
(実施例2)
次に、鍵共有処理の実施例2として、認証付き鍵共有プロトコルにChen-Cheng-Smartを用いた場合について、図5を参照しながら説明する。図6は、本発明の実施の形態における鍵共有処理の一例を示すシーケンス図(実施例2)である。
機器10の鍵共有処理部103は、秘密鍵DA,1=zQA,1=zH(ID)∈Gを生成する(ステップS201)。ここで、鍵共有処理部103は、以下のステップS201-1~ステップS201-2により、秘密鍵DA,1を生成する。
ステップS201-1:鍵共有処理部103は、QA,1=H(ID)を計算し、QA,1を公開する。
ステップS201-2:鍵共有処理部103は、鍵生成センタ(KGC)にアクセスし、鍵生成センタにより生成された秘密鍵DA,1=zQA,1を受け取る。これにより、秘密鍵DA,1が生成される。
サーバ装置20の鍵共有処理部202は、秘密鍵DB,1=zQB,1=zH(ID)∈Gを生成する(ステップS202)。ここで、鍵共有処理部202は、以下のステップS202-1~ステップS202-2により、秘密鍵DB,1を生成する。
ステップS202-1:鍵共有処理部202は、QB,1=H(ID)を計算し、QB,1を公開する。
ステップS202-2:鍵共有処理部202は、鍵生成センタ(KGC)にアクセスし、鍵生成センタにより生成された秘密鍵DB,1=zQB,1を受け取る。これにより、秘密鍵DB,1が生成される。
機器10の鍵共有処理部103は、z∈Zをランダムに選択した上で、以下により秘密鍵DA,1を秘密鍵D´A,1とD´´A,1とに分割する(ステップS203)。
D´A,1=zA,1
D´´A,1=DA,1-D´A,1
次に、機器10の通信部101は、秘密鍵D´´A,1を委託計算装置30に送信する(ステップS204)。
委託計算装置30の委託計算部303は、通信部301が秘密鍵D´´A,2を受信すると、当該秘密鍵D´´A,2を記憶部304に保存する(ステップS205)。
機器10の鍵共有処理部103は、秘密鍵DA,1及びD´´A,1を削除すると共に、秘密鍵D´A,1のみを記憶部104に保存する(ステップS206)。
サーバ装置20の鍵共有処理部202は、秘密鍵DB,1を記憶部203に保存する(ステップS207)。
機器10の鍵共有処理部103は、短期秘密鍵x∈Zをランダムに選択した上で、短期公開鍵XA,2=xを計算する(ステップS208)。これにより、短期秘密鍵xと、短期公開鍵XA,2とが生成される。なお、短期秘密鍵xと、短期公開鍵XA,2とは、例えば、記憶部104に記憶される。
サーバ装置20の鍵共有処理部202は、短期秘密鍵x∈Zをランダムに選択した上で、短期公開鍵XB,2=xを計算する(ステップS209)。これにより、短期秘密鍵xと、短期公開鍵XB,2とが生成される。なお、短期秘密鍵xと、短期公開鍵XB,2とは、例えば、記憶部203に記憶される。
機器10の通信部101は、識別子IDと、識別子IDと、短期公開鍵XA,2とをサーバ装置20に送信する(ステップS210)。
サーバ装置20の鍵共有処理部202は、以下により共有値σ,σ,σを計算する(ステップS211)。
σ=e(xA,1,Z
σ=e(DB,1,XA,2
σ=xA,2
次に、サーバ装置20の通信部201は、識別子IDと、識別子IDと、短期公開鍵XB,2とを機器10に送信する(ステップS212)。
機器10の相互認証部102と、委託計算装置30の相互認証部302とは、実施例1と同様に、共有鍵による相互認証を行う(ステップS213)。すなわち、機器10の相互認証部102は、記憶部104に予め記憶しておいた共通鍵を用いて委託計算装置30を認証すると共に、委託計算装置30の相互認証部302は、記憶部304に予め記憶しておいた共通鍵を用いて機器10を認証する。
以降では、ステップS213の相互認証に成功したものとする。なお、相互認証に成功した場合、機器10と委託計算装置30とはセッション鍵を生成し、このセッション鍵を用いて以降の通信を暗号化するものする。したがって、以降のステップS214及びステップS219の通信は、このセッション鍵によって暗号化されているものとする。
機器10の通信部101は、識別子IDと、識別子IDと、短期公開鍵XB,2とを委託計算装置30に送信する(ステップS214)。
次に、委託計算装置30の委託計算部303は、以下により共有値σ´´を計算する(ステップS215)。
σ´´=e(D´´A,1,XB,2
このように、委託計算装置30では、σ´´として、e(D´´A,1,XB,2)を計算する。すなわち、従来のChen-Cheng-Smartではσ=(DA,1,XB,2)を計算しているが、実施例2では、DA,1の代わりにD´´A,1を用いて、σ´´=e(D´´A,1,XB,2)を計算する。なお、従来のChen-Cheng-Smartについては、例えば、以下の参考文献2を参照されたい。
[参考文献2]
L. Chen, Z. Cheng, N. Smart: Identity-based key agreement protocols from pairings. International Journal of Information Security, July 2007, Volume 6, issue4, pp213-241.
他方で、機器10の鍵共有処理部103は、以下により共有値σ,σ´,σを計算する(ステップS216)。
σ=e(xB,1,Z
σ´=e(D´A,1,XB,2
σ=xB,2
次に、機器10の鍵共有処理部103は、以下によりsidを計算する(ステップS217)。
Figure 0007020297000006
 また、サーバ装置20の鍵共有処理部202は、以下によりsidを計算する(ステップS218)。
Figure 0007020297000007
 委託計算装置30の通信部301は、共有値σ´´を機器10に送信する(ステップS219)。
機器10の鍵共有処理部103は、通信部101が共有値σ´´を受信すると、以下により共有鍵Kを生成する(ステップS220)。
Figure 0007020297000008
 なお、共有鍵Kは、例えば、記憶部104に記憶される。
サーバ装置20の鍵共有処理部202は、以下により共有鍵Kを生成する(ステップS221)。
Figure 0007020297000009
 なお、共有鍵Kは、例えば、記憶部203に記憶される。
これにより、機器10とサーバ装置20との間で共有鍵Kが共有される。したがって、以降の機器10及びサーバ装置20は、共有鍵Kを用いた暗号化通信を行うことができるようになる。
以上のように、実施例2の鍵共有処理では、機器10は1つの秘密鍵DA,1を生成した上で、この秘密鍵DA,1を2つの秘密鍵D´A,1及びD´´A,1に分割し、秘密鍵D´A,1を機器10に保存すると共に、秘密鍵D´´A,1を委託計算装置30に保存する。そして、機器10では秘密鍵D´A,1を用いたペアリング演算(σ´)を行うと共に、委託計算装置30では秘密鍵D´´A,1を用いたペアリング演算(σ´´)を行う。
このように、実施例2の鍵共有処理では、1つの秘密鍵DA,1から分割された複数の秘密鍵D´A,1及びD´´A,1を用いて共有鍵Kを生成する。これにより、実施例1と同様に、例えば、万が一、機器10から秘密鍵D´A,1が第三者に漏洩した場合であっても、委託計算装置30に保存されている秘密鍵D´´A,1が漏洩しない限り、当該第三者は、なりすまし等を行うことができない。
実施例2では機器10が2回のペアリング演算(σ及びσ´)を行う必要があるため、実施例1と比較して、処理時間の削減効果を得ることができないが、上述したように、実施例1と同様の安全性を得ることができる。また、実施例2では、Chen-Cheng-Smartの認証付き鍵共有プロトコルのアルゴリズムを変更することなく、実施例1と同様の安全性を得ることができる。
なお、実施例2では、ペアリング演算の性質e((x+x)P,Q)=e(x,P)e(x,P)により、σ´σ´´=σ=e(DA,1,XB,2)となることを用いて、秘密鍵DA,1を分割している。
<まとめ>
以上のように、本発明の実施の形態における鍵共有システム1では、複数の秘密鍵を機器10が生成した上で、一部の秘密鍵を機器10に保存する一方で、他の一部の秘密鍵を委託計算装置30に保存する。そして、本発明の実施の形態における鍵共有システム1では、機器10が当該一部の秘密鍵を用いた共有値の計算を行う一方で、当該他の一部の秘密鍵を用いた共有値の計算を委託計算装置30に委託する。これにより、本発明の実施の形態における鍵共有システム1では、安全性の高い認証付き鍵共有を行うことができるようになる。また、このとき、委託計算装置30が共有値の計算(ペアリング演算)を行うことで、機器10が比較的処理性能の低いIoT機器等であっても、認証付き鍵共有の処理時間の低下を防止することができる。
ここで、本発明の実施の形態は、一般に、n個の共有値σ(i=1,・・・,n)を用いて共有鍵Kを生成する認証付き鍵共有プロトコルにおいて、或るj,k(j≠k)に対してσ,σがペアリング演算で計算され、かつ、これらペアリング演算の入力に秘密鍵DA,1又はDA,2が用いられる場合に、一部の共有値の計算(ペアリング演算)を委託計算装置30に委託することが可能である。すなわち、或る整数al1,al2,bm1,bm2∈Zに対して、σ,σが、
Figure 0007020297000010
 と表現されている場合、bm2,al2,DA,1を生成し、σの入力を以下のようにする。
Figure 0007020297000011
 これにより、このσの計算を委託計算装置30に委託することができる。
なお、秘密鍵ではなく公開鍵のみが入力されるペアリング演算を用いる認証付き鍵共有プロトコルであれば、このペアリング演算も委託計算装置30に委託することが可能である。
また、認証付き鍵共有プロトコルとしてFSUを用いる場合、機器10では、従来のFSUと同様に、σ´=e(DA,1+x,QB,2+XB,2)を計算する一方で、委託計算装置30にσ´´=e(QB,1+XB,1,DA,2+x)を計算させた上で、これらを結合してσ=σ´||σ´´としても良い。また、このとき、機器10は、
Figure 0007020297000012
 を計算しておき、
Figure 0007020297000013
 をサーバ装置20に送信しても良い。これにより、機器10の共有値の計算(ペアリング演算)の回数が1回増えるものの、サーバ装置20側でも同様のMAC(Message Authentication Code)を計算し、この計算結果を機器10が受け取ることで、機器10は、委託計算装置30に委託した計算結果が正しいか否かを検証することができるようになる。特に、機器10と委託計算装置30との間の相互認証が成功しなかったにも関わらず、共有値の計算(ペアリング演算)を委託したような場合に有効である。
なお、実施例1の鍵共有処理では、機器10の記憶部104に秘密鍵DA,1を保存し、委託計算装置30の記憶部304に秘密鍵DA,2を保存するという前提の下で、機器10がSender、サーバ装置20がRecieverである場合について説明した。同様の前提の下で、機器10がReciever、サーバ装置20がSenderである場合、共有値σ及びσの計算内容をそれぞれσ=(QB,1,DA,2)及びσ=(DA,1+x,QB,2+XB,2)に変更した上で、機器10は、共有値σの計算を委託計算装置30に委託し、共有値σを自身で計算すれば良い。このとき、機器10は、例えば、共有値σの計算を委託する際に、IDとXB,1とXB,2とを委託計算装置30に送信すれば良い。
ただし、機器10がReciever、サーバ装置20がSenderである場合に、委託計算装置30に計算を委託する共有値と、共有値の計算内容とを変更しないで実現することもできる。この場合、実施例1の鍵共有処理では、共有値の計算の前に、機器10とサーバ装置20とが互いに短期公開鍵(XA,1,XA,2,XB,1,XB,2)を交換するようにすれば良い。
なお、実施例2の鍵共有処理では、機器10とサーバ装置20との間でSenderとRecieverとが入れ替わった場合でも同様の処理を行えば良い。
また、実施例1及び実施例2の鍵共有処理では、機器10とサーバ装置20と間で共有鍵を共有する場合について説明したが、例えば、機器10と他の機器10との間で共有鍵を共有しても良い。この場合は、当該機器10と、当該他の機器10の両方が、一部の共有値の計算を委託計算装置30に委託しても良い。
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
1 鍵共有システム
10 機器
20 サーバ装置
30 委託計算装置
101 通信部
102 相互認証部
103 鍵共有処理部
104 記憶部
201 通信部
202 鍵共有処理部
203 記憶部
301 通信部
302 相互認証部
303 委託計算部
304 記憶部

Claims (6)

  1. 認証付き鍵共有プロトコルにより、第1の機器と第2の機器との間で暗号化通信を行うための共有鍵を生成する鍵共有システムであって、
    前記第1の機器及び前記第2の機器の少なくとも一方の機器は、
    前記共有鍵を生成するための共有値σ(i=1,・・・,n)のうち、ペアリング演算により計算され、かつ、秘密鍵DA,1を入力する共有値σを計算する計算手段と、
    前記共有値σ(i=1,・・・,n)のうち、ペアリング演算により計算され、かつ、秘密鍵DA,2を入力する共有値σ(k≠j)の計算を、前記機器とネットワークを介して接続された情報処理装置に委託する委託手段と、
    前記計算手段により計算した共有値σと、前記情報処理装置で計算された共有値σとを用いて、前記共有鍵を生成する鍵生成手段と、
    を有し、
    前記σ 及びσ は、前記ペアリング演算をe、g を第1の楕円曲線の部分群の生成元、g を第2の楕円曲線の部分群の生成元、或る整数a l1 ,a l2 ,b m1 ,b m2 ∈Z として、
    Figure 0007020297000014
     で表される、ことを特徴とする鍵共有システム。
  2. 前記秘密鍵DA,1及び前記秘密鍵DA,1は、異なる群G及びGでそれぞれ生成された秘密鍵又は群Gで生成された1つの秘密鍵を分割した秘密鍵のいずれかである、ことを特徴とする請求項に記載の鍵共有システム。
  3. 前記認証付き鍵共有プロトコルは、FSU又はChen-Cheng-Smartのいずれかである、ことを特徴とする請求項1又は2に記載の鍵共有システム。
  4. 認証付き鍵共有プロトコルにより他の機器との間で暗号化通信を行うための共有鍵を生成する機器であって、
    前記共有鍵を生成するための共有値σ(i=1,・・・,n)のうち、ペアリング演算により計算され、かつ、秘密鍵DA,1を入力する共有値σを計算する計算手段と、
    前記共有値σ(i=1,・・・,n)のうち、ペアリング演算により計算され、かつ、秘密鍵DA,2を入力する共有値σ(k≠j)の計算を、前記機器とネットワークを介して接続された情報処理装置に委託する委託手段と、
    前記計算手段により計算した共有値σと、前記情報処理装置で計算された共有値σとを用いて、前記共有鍵を生成する鍵生成手段と、
    を有し、
    前記σ 及びσ は、前記ペアリング演算をe、g を第1の楕円曲線の部分群の生成元、g を第2の楕円曲線の部分群の生成元、或る整数a l1 ,a l2 ,b m1 ,b m2 ∈Z として、
    Figure 0007020297000015
     で表される、ことを特徴とする機器。
  5. 認証付き鍵共有プロトコルにより、第1の機器と第2の機器との間で暗号化通信を行うための共有鍵を生成する鍵共有システムに用いられる鍵共有方法であって、
    前記第1の機器及び前記第2の機器の少なくとも一方の機器が、
    前記共有鍵を生成するための共有値σ(i=1,・・・,n)のうち、ペアリング演算により計算され、かつ、秘密鍵DA,1を入力する共有値σを計算する計算手順と、
    前記共有値σ(i=1,・・・,n)のうち、ペアリング演算により計算され、かつ、秘密鍵DA,2を入力する共有値σ(k≠j)の計算を、前記機器とネットワークを介して接続された情報処理装置に委託する委託手順と、
    前記計算手順により計算した共有値σと、前記情報処理装置で計算された共有値σとを用いて、前記共有鍵を生成する鍵生成手順と、
    を実行し、
    前記σ 及びσ は、前記ペアリング演算をe、g を第1の楕円曲線の部分群の生成元、g を第2の楕円曲線の部分群の生成元、或る整数a l1 ,a l2 ,b m1 ,b m2 ∈Z として、
    Figure 0007020297000016
     で表される、ことを特徴とする鍵共有方法。
  6. コンピュータを、請求項に記載の機器として機能させるためのプログラム。
JP2018102726A 2018-05-29 2018-05-29 鍵共有システム、機器、鍵共有方法及びプログラム Active JP7020297B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018102726A JP7020297B2 (ja) 2018-05-29 2018-05-29 鍵共有システム、機器、鍵共有方法及びプログラム
US17/058,116 US11791993B2 (en) 2018-05-29 2019-04-25 Shared key system, information processing apparatus, equipment, shared key method and program
PCT/JP2019/017804 WO2019230291A1 (ja) 2018-05-29 2019-04-25 鍵共有システム、情報処理装置、機器、鍵共有方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018102726A JP7020297B2 (ja) 2018-05-29 2018-05-29 鍵共有システム、機器、鍵共有方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2019208142A JP2019208142A (ja) 2019-12-05
JP7020297B2 true JP7020297B2 (ja) 2022-02-16

Family

ID=68697471

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018102726A Active JP7020297B2 (ja) 2018-05-29 2018-05-29 鍵共有システム、機器、鍵共有方法及びプログラム

Country Status (3)

Country Link
US (1) US11791993B2 (ja)
JP (1) JP7020297B2 (ja)
WO (1) WO2019230291A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111193797B (zh) * 2019-12-30 2022-10-11 海尔优家智能科技(北京)有限公司 具有可信计算架构的物联网操作系统的信息处理方法
JP2022091498A (ja) 2020-12-09 2022-06-21 セイコーエプソン株式会社 暗号通信システム、暗号通信方法および暗号通信装置
CN114531680B (zh) * 2022-03-07 2023-06-27 国网福建省电力有限公司信息通信分公司 基于量子密钥的轻量化ibc双向身份认证系统及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011147060A (ja) 2010-01-18 2011-07-28 Nippon Telegr & Teleph Corp <Ntt> Idベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体
JP2013152362A (ja) 2012-01-25 2013-08-08 Oki Electric Ind Co Ltd 代行パラメータ情報生成装置、代行装置、代行パラメータ情報生成プログラム、代行プログラム及び通信システム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181014B1 (en) * 1999-09-10 2007-02-20 Cisco Technology, Inc. Processing method for key exchange among broadcast or multicast groups that provides a more efficient substitute for Diffie-Hellman key exchange
JP4526574B2 (ja) * 2008-03-31 2010-08-18 富士通株式会社 暗号データ管理システム、および暗号データ管理方法
US9774448B2 (en) * 2013-10-30 2017-09-26 Duo Security, Inc. System and methods for opportunistic cryptographic key management on an electronic device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011147060A (ja) 2010-01-18 2011-07-28 Nippon Telegr & Teleph Corp <Ntt> Idベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体
JP2013152362A (ja) 2012-01-25 2013-08-08 Oki Electric Ind Co Ltd 代行パラメータ情報生成装置、代行装置、代行パラメータ情報生成プログラム、代行プログラム及び通信システム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
FUJIOKA, Atsushi et al.,Sufficient Condition for Identity-Based Authenticated Key Exchange Resilient to Leakage of Secret Ke,LNCS, ICISC 2011,Springer,2011年,Vol.7259,p. 490-509
中嶋 純 ほか,無線マルチホップネットワークノードの認証・鍵共有計算の一部計算委託方式の提案,2012年 暗号と情報セキュリティシンポジウム予稿集,日本,2012年 暗号と情報セキュリティシンポジウム実行,2012年01月30日,3E2-2,p.1-6

Also Published As

Publication number Publication date
JP2019208142A (ja) 2019-12-05
WO2019230291A1 (ja) 2019-12-05
US11791993B2 (en) 2023-10-17
US20210211275A1 (en) 2021-07-08

Similar Documents

Publication Publication Date Title
US11716195B2 (en) Facilitating communications using hybrid cryptography
Kalra et al. Secure authentication scheme for IoT and cloud servers
US10797879B2 (en) Methods and systems to facilitate authentication of a user
US10819510B2 (en) Facilitating communications using hybrid cryptography
US11153085B2 (en) Secure distributed storage of encryption keys
WO2019174187A1 (zh) 基于区块链的多端间消息通信的方法、终端及存储介质
US10187373B1 (en) Hierarchical, deterministic, one-time login tokens
WO2018071191A2 (en) Method and system for data security based on quantum communication and trusted computing
US20090307492A1 (en) Method,system and network device for bidirectional authentication
JP7020297B2 (ja) 鍵共有システム、機器、鍵共有方法及びプログラム
CN110380859B (zh) 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和系统
Dong et al. Fog computing: Comprehensive approach for security data theft attack using elliptic curve cryptography and decoy technology
US9215069B2 (en) Methods and apparatus for device authentication with one-time credentials
US11170094B2 (en) System and method for securing a communication channel
JP7298686B2 (ja) 鍵交換システム、通信装置及びプログラム
Ogunleye et al. Elliptic Curve Cryptography Performance Evaluation for Securing Multi-Factor Systems in a Cloud Computing Environment
WO2021010444A1 (ja) 鍵交換システム、通信装置、鍵交換方法及びプログラム
US11171953B2 (en) Secret sharing-based onboarding authentication
CN110572788B (zh) 基于非对称密钥池和隐式证书的无线传感器通信方法和系统
WO2017130200A1 (en) System and method for securing a communication channel
US20210344515A1 (en) Authentication-permission system, information processing apparatus, equipment, authentication-permission method and program
Lawson et al. Effectiveness of the NIZKP protocol for authentication in IoT environment
JP7377495B2 (ja) 暗号システム及び方法
JP7231051B2 (ja) 端末、サーバ、方法及びプログラム
JP7289478B2 (ja) 鍵交換システム、機器、情報処理装置、鍵交換方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200819

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211012

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211213

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220117

R150 Certificate of patent or registration of utility model

Ref document number: 7020297

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150